Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind … [Read more…]
In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich … [Read more…]
Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM. Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise … [Read more…]
Im ersten Semester gab es folgende Veranstaltungen: Grundlagen sicherer Kommunikation Kryptographie Netzwerksicherheit Recht Grundlagen Security Management Semesterarbeit 1 Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der … [Read more…]
Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern: Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter. Der Nutzer muss sich das … [Read more…]
Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben. Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer … [Read more…]
Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues. In der Presse ist … [Read more…]
Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.? Merkmale vom CISSP: Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre. Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab. Beinhaltet Aspekte zur sicheren … [Read more…]
Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden. Meine Vorbereitung zur Prüfung bestand aus dem CISM Review … [Read more…]
Mein Ergebnis ist da: Ich bin nun zertifizierter TeleTrusT Information Security Professional.
